Ransomware: cuatro cosas que debe saber sobre los nuevos peligros y cómo enfrentarlos

Pueden secuestrar activos como los números de tarjeta de crédito de sus clientes o procesos de negocios críticos de los que dependen las operaciones, o datos sensibles protegidos por ley. Los piratas informáticos dan su golpe cuando dicen: pague para que le desbloqueemos sus datos y/o pague o publicamos todos sus datos en Internet. Un bloqueo permanente podría paralizar las operaciones. Una divulgación de información podría afectar a los clientes, perjudicar a las marcas y provocar escrutinios legales y grandes multas.  

Los cuatro nuevos peligros

Los riesgos se pueden reducir pero hay que actuar rápido. Estas son las cuatro cosas que debe saber acerca de los crecientes peligros informáticos. 

1. Mientras lee estas palabras, los hackers de ransomware están investigando su compañía

Hay un hecho difícil de aceptar acerca del ransomware: generalmente es recompensado. Como resultado, está atrayendo cibercriminales altamente sofisticados e impulsando a organizaciones criminales. Están invirtiendo tiempo y dinero para elegir los objetivos más lucrativos y evaluar cómo superar sus defensas.

¿Qué hace que una empresa sea un objetivo? Los delincuentes de ransomware se fijan en tres factores. 

• Consideran la capacidad de pago. Suelen realizar análisis financieros (tal como haría un analista del mercado de valores), investigan los sueldos de los principales ejecutivos (sí, saben cuánto ganan) e intentan determinar si tienen un ciberseguro. 

• Evalúan la calidad de las defensas. Pueden monitorear la ciberseguridad durante meses antes de decidirse finalmente por un ataque. 

• Consideran cuánto daño pueden causar rápidamente. Si pueden paralizar rápidamente las operaciones críticas, saben que no tendrán más remedio que pagar un rescate mayor.

2. El ransomware como servicio está facilitando y multiplicando ataques sofisticados. 

El concepto de “todo como un servicio”  también funciona para los criminales: existen por lo menos 12 ofertas de servicio bien establecidas donde los desarrolladores de ransomware arriendan su malware a cambio de una parte de los ingresos de los ataques criminales (normalmente pueden oscilar entre el 25% de pequeños rescates hasta el 10% de los que superan los 5 millones de dólares). Incluso es posible medir la participación en el mercado y los ingresos por los proveedores de Ransomware-as-a-service (RaaS), quienes pueden ofrecer sus servicios a los hackers y promover sus mesas de soporte a los clientes criminales.

El ransomware como servicio (RaaS) disminuye las barreras para los ataques, ya que los cibercriminales no necesitan desarrollar su propio malware. Muchos se especializan en extender e implementar el ransomware a escala en su entorno de TI.

3. Los nuevos esquemas son más lucrativos para los criminales y más costosos para las empresas. 

Los actores de ataques ransomware están encontrando nuevas formas de monetizar sus datos. Muchos descargan (extraen) datos de los sistemas de sus víctimas, encriptan estos archivos y anuncian su ataque en sitios públicos. Luego establecen una fecha límite de pago por el rescate de la información. Si las empresas se rehúsan, publican los datos robados. La amenaza de perjudicar a los clientes, las marcas y el cumplimiento regulatorio, pueden presionar y obligar a las empresas a pagar por recuperar sus datos de vuelta. 

La doble extorsión se ha vuelto cada vez más frecuente en las prácticas de los hackers de ransomware. Exigen doble rescate: primero exigen dinero por una clave digital para desbloquear los archivos para que las empresas puedan acceder a sus datos nuevamente.  Luego, exigen más dinero a cambio de la promesa de destruir las copias de los datos robados.  

En el 2020, la mayor demanda de rescate pagado a los cibercriminales en EE.UU, Canadá y Europa se duplicó hasta los 10 millones, y los pagos promedio incrementaron un 171%.  El récord se rompió en marzo de 2021, cuando se reportó que el pago de un rescate por el que exigían 40 millones de dólares quedó en 60 millones de dólares. El pago medio por ransomware aumentó un 43% en el primer trimestre de 2021.

4. Los hackers de ransomware probablemente no recibirán un castigo, incluso si son atrapados.

Muchos grupos criminales de ransomware operan con la protección, al menos tácita, de su gobierno local. Es muy común que las autoridades estadounidenses identifiquen, sancionen y procesen criminales en otros países. Sin embargo, estos países suelen rechazar los procesos de extradición de este tipo.

Se adelantan esfuerzos para ponerle fin a esta impunidad.  La Ransomware Task Force, por ejemplo, recomienda desmantelar los sistemas de pago de rescates y presiona a los gobiernos para que adopten medidas contra los actores de estos ataques. El ataque ransomware a Colonial Pipeline, que amenazó las provisiones de combustible en EE.UU., puede motivar al gobierno a actuar firmemente contra los países que protegen a estos perpetradores de ataques. De hecho, la Casa Blanca anunció que en octubre del 2021 convocaría a 30 países con el objetivo de intensificar los esfuerzos globales frente a las amenazas del ransomware, que ponen en riesgo la seguridad económica y nacional.

Protección contra esquemas de ransomware costosos y sofisticados

Tu primera defensa: ser mejor que tus pares

Los criminales de ransomware elegirán los blancos más lucrativos y delicados, por lo que es aconsejable fortalecer las defensas y animar a los hackers a buscar en otra parte. Hacer que la ciberseguridad de la empresa sea de primera categoría, con autenticación de factores múltiples en todas las cuentas (incluyendo el acceso a VPN), una sólida gestión de parches y vulnerabilidades, sistemas antivirus y detección de intrusos actualizados, y protocolos de escritorio remoto (RDP) desactivados o no accesibles desde Internet. 

Entender dónde se ubican los datos sensibles, las implicaciones (incluidos los requisitos normativos) en caso de cualquier fuga de información, y lo necesario para recuperarse y crear una “compañía mínimamente viable”. Crear y revisar las copias de seguridad en desconexión, junto con un procedimiento sólido de restauración. Definir y probar qué tantas alteraciones puede tolerar si sucede un ataque y estar preparado para tomar la decisión correcta sobre el rescate de la información y los datos.

Planea con anticipación cómo recuperarse de un ataque. 

Si su empresa se ve afectada por uno, tenga un plan listo que pueda contrarrestar sus pérdidas y le permita salir adelante rápidamente. Tener copias de seguridad completas y segregadas disponibles para restauración puede ayudarle a retomar sus negocios y reducir el impacto operacional. De lo contrario, aún si paga un rescate, la recuperación puede ser lenta y costosa ya que los ambientes de TI son complejos y la información acerca de los sistemas críticos puede ser confusa. Después de que los criminales de ransomware regresan los datos y proporcionan claves de descifrado de información, también es muy común que las compañías que no tiene un plan para enfrentar este tipo de ataques se vean enfrentadas a una recuperación lenta: las herramientas de ransomware pueden contener datos corruptos y los equipos de TI pueden ser poco hábiles al intentar descifrar los datos. 

Hay que desarrollar y poner en práctica la respuesta a incidentes y planes de crisis. Probar estos planes en escenarios catastróficos de ransomware, donde las herramientas comunes de seguridad de TI pueden no estar disponibles y los esfuerzos de recuperación pueden tomar semanas o meses. Asegurar de que cuenta con un equipo experto y técnico para responder a un ataque determinando su causa, investigando su alcance, conteniendo la fuga y expulsando al atacante de su ambiente.